Планирование проверки подлинности между серверами в SharePoint Server

ОБЛАСТЬ ПРИМЕНЕНИЯ:2013 2016 2019 Subscription Edition SharePoint в Microsoft 365

Проверка подлинности между серверами позволяет серверам, которые могут выполнять проверку подлинности между серверами, получать доступ к ресурсам и запрашивать ресурсы друг от друга от имени пользователей. Серверы, поддерживающие проверку подлинности между серверами, работают под управлением SharePoint Server, Exchange Server 2016, Skype для бизнеса Server 2015, службы рабочих процессов Azure или другого программного обеспечения, поддерживающего протокол "сервер — сервер" Майкрософт. Проверка подлинности между серверами обеспечивает новый набор функциональных возможностей и сценариев, которые можно реализовать за счет общего доступа к ресурсам между серверами.

Чтобы предоставить ресурсы, запрошенные с другого сервера, поддерживающего межсерверную проверку подлинности, сервер с SharePoint Server должен выполнить следующее:

• Убедиться в том, что запрашивающий сервер является доверенным. Чтобы обеспечить проверку подлинности запрашивающего сервера, необходимо настроить сервер с SharePoint Server так, чтобы он доверял серверу, отправляющему запросы. Это одностороннее отношение доверия.

• Убедиться в том, что сервер авторизован запрашивать определенный тип доступа. Чтобы обеспечить такую авторизацию, необходимо настроить на сервере с SharePoint Server определенный набор разрешений для запрашиваемых ресурсов.

Обратите внимание, что протокол проверки подлинности между серверами в SharePoint Server отделен от проверки подлинности пользователя и не используется пользователями SharePoint в качестве протокола проверки подлинности при входе. Протокол проверки подлинности между серверами, использующий протокол Open Authorization (OAuth) 2.0, не добавляется к набору протоколов входа пользователей, таких как WS-Federation. В SharePoint Server нет новых протоколов проверки подлинности пользователей. Протокол проверки подлинности между серверами не отображается в списке поставщиков удостоверений.

Сведения о планировании приложения-службы профилей пользователей для проверки подлинности между серверами см. в разделе Межсерверная проверка подлинности и профили пользователей в SharePoint Server.

Введение

Планирование межсерверной проверки подлинности состоит из перечисленных ниже задач.

• Определение отношений доверия, которые нужно настроить на сервере с SharePoint Server.

• Рекомендации по работе с приложением-службой профилей пользователей. Дополнительные сведения см. в статье Проверка подлинности между серверами и профили пользователей в SharePoint Server.

Важно!

Веб-приложения, которые включают конечные точки проверки подлинности между серверами (для входящих запросов между серверами) или которые делают исходящие межсерверные запросы на другие серверы, должны использовать SSL.

Примечание.

Межсерверную проверку подлинности следует планировать на сервере с SharePoint Server, только если настраивается один или несколько сценариев межсерверных взаимодействий, требующих наличия подобной проверки подлинности.

Определение набора отношений доверия

Для сервера с SharePoint Server отношение доверия с другим сервером, поддерживающим межсерверную проверку подлинности, характеризуется следующим:

• Сервер, на котором работает SharePoint Server, доверяет запросам с сервера, который выполняет межсерверную проверку подлинности (поступающим на сервер с SharePoint Server).

  Для этого необходимо настроить сервер с SharePoint Server так, чтобы он доверял запрашивающему серверу.

• Сервер, поддерживающий межсерверную проверку подлинности, доверяет запросам с сервера, на котором работает SharePoint Server (исходящие запросы с сервера, на котором работает SharePoint Server).

  Для этого необходимо так настроить сервер, поддерживающий межсерверную проверку подлинности, чтобы он доверял запрашивающему серверу с SharePoint Server.

Для каждой фермы, где работает SharePoint Server, составьте список серверов, которые могут выполнять межсерверную проверку подлинности и будут получать входящие запросы согласно сценариям межсерверного взаимодействия в ферме. Нужно рассмотреть два случая применения отношений для межсерверной проверки подлинности.

Случай 1. Фермы размещены на локальных ресурсах

Если ферма, поддерживающая межсерверную проверку подлинности, размещена локально, необходимо настроить ферму, в которой работает SharePoint Server. Используйте командлет PowerShell New-SPTrustedSecurityTokenIssuer , чтобы добавить конечную точку метаданных javaScript Object Notation (JSON) сервера, которая может выполнять проверку подлинности между серверами на сервер, на котором выполняется SharePoint Server. Если сервер, который может выполнять проверку подлинности между серверами, является другим сервером, на котором выполняется SharePoint Server, конечная точка метаданных JSON имеет формат https://< HostName>/_layouts/15/metadata/json/1.

Случай 2. Фермы входят в состав клиента Microsoft 365

Если ферма, в которой работает SharePoint Server, и другой сервер, поддерживающий межсерверную проверку подлинности, входят в организацию Microsoft 365, отдельно настраивать такую проверку подлинности не требуется.

После определения набора серверов, которым требуется межсерверная проверка подлинности, перейдите к разделу Configure server-to-server authentication in SharePoint Server, в котором представлены сведения о настройке межсерверных отношений доверия.

См. также

Понятия

Обзор проверки подлинности для SharePoint Server

Межсерверная проверка подлинности и профили пользователей в SharePoint Server